1 |
On Mon, 16 Jun 2014 00:46:04 +0400
|
2 |
Alexander Tsoy <alexander@××××.me> wrote:
|
3 |
|
4 |
> Не очень понятно, почему вышеперечисленные примеры свойственны только Gentoo, и как эти проблемы решены в других дистибутивах, вернее как они вообще могут быть решены. Так себе и представил редхатовцев и дебианщиков, проводящих аудит изменений в апстримном коде, ага. |
5 |
|
6 |
Они свойственны Gentoo в существенно большей мере и хорошо познаются в
|
7 |
сравнении. Например, обновление кода в Gentoo производится намного чаще
|
8 |
и в гораздо больших объёмах. Плюс нет окон поддержки замороженных
|
9 |
LTS-веток, нет более чёткого разделения на обновления безопасности,
|
10 |
рекомендованные и прочие. Практика осмысленного принятия выборочных
|
11 |
изменений в код применяется лишь в очень редких случаях и чаще не
|
12 |
вместо, а наряду с полным обновлением версий пакетов. И если
|
13 |
пользователь LTS-ветки бинарного дистрибутива может обладать хотя бы
|
14 |
принципиальной возможностью самостоятельно проводить аудит патчей когда
|
15 |
тех пакетов, которыми он пользуется, то у пользователей Gentoo в рамках
|
16 |
общепринятой практики такой возможности нет.
|
17 |
|
18 |
Обновления безопасности - отдельная тема. В Gentoo они часто выходят с
|
19 |
бОльшим запозданием, чем в тех же Debian/Ubuntu или RHEL. Мне,
|
20 |
например, раньше приходилось собирать свежие версии Firefox и
|
21 |
Thunderbird с обновлениями безопасности за несколько дней до их
|
22 |
появления в portage. А также патчить в локальном оверлее некоторые
|
23 |
пакеты, которые порой не обновлялись в portage неделями - навскидку это
|
24 |
MySQL, PostgreSQL и glibc.
|
25 |
|
26 |
Но если векторы атаки на glibc и СУБД чаще локальные, то в случае
|
27 |
браузеров и почтовых клиентов всё иначе. И не один я, надо полагать,
|
28 |
сталкивался с запоздалым выходом обновлений к ним. Мейнтейнеры
|
29 |
некоторых пакетов - тоже. А ведь в большинстве своём это люди, которые
|
30 |
не пользуются проактивной защитой (hardened-ядра и сопутствующие
|
31 |
модификации пакетов). И это в довесок к тому, что они запускают всякий
|
32 |
хлам не только в одной системе, но и под одним и тем же пользователем на
|
33 |
общем X11-дисплее.
|
34 |
|
35 |
Да, проблемы есть везде, но в разной мере, с разными последствиями и
|
36 |
рисками в зависимости от ситуации. Иногда эти различия настолько
|
37 |
существенны, что способны перевести лучшие практики в разряд культа
|
38 |
Карго. Как _на мой взгляд_ и обстоит дело с проверкой подписей файлов в
|
39 |
portage.
|
40 |
|
41 |
Что касается решений проблем, а вернее, способов снижения рисков до
|
42 |
существенно меньшего уровня и установления контроля за потенциальными
|
43 |
последствиями атак - они есть, но лежат в другой плоскости и предметно
|
44 |
их обсуждать в рамках назревающего холивара едва ли стоит. Ключевые
|
45 |
слова: proactive secuirty, decentralized package manager, sandboxing. |